Программа: CuteNews 1.3.6
Уязвимость позволяет злоумышленнику произвести XSS атаку и получить доступ к важным данным пользователей. Локальный пользователь может повысить свои привилегии на системе.
Уязвимость существует из-за некорректной обработки данных в переменных 'X-FORWARDED-FOR' и 'CLIENT-IP' в файле '/inc/show.inc.php'. Удаленный пользователь может внедрить злонамеренный HTML сценарий в файл 'comments.txt', который будет выполняться каждый раз при просмотре новости. Злоумышленник может получить доступ к важным данным пользователей.
Локальный пользователь может внедрить произвольный php сценарий в файл 'flood.db.php' и выполнить произвольные команды с привилегиями web сервера.
